域间源地址异常检验方法、装置、存储介质及网络设备制造方法及图纸

本发明专利技术提供一种域间源地址异常检验方法、装置、存储介质及网络设备，根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当前自治域初始的全局域间源地址检验表，全局域间源地址检验表中的每条表项至少包含允许通过的源地址前缀和该前缀对应的入接口；根据入流量信息计算起源自治域、目的地址前缀与入接口的映射表；基于映射表中信息进行探测，检验映射关系，更新全局域间源地址检验表。本发明专利技术能够在自治域AS间进行源地址验证以降低全球互联网假冒IP源地址的DDoS攻击，提高互联网自治域AS间源地址验证的能力。验证的能力。验证的能力。

【技术实现步骤摘要】
域间源地址异常检验方法、装置、存储介质及网络设备


[0001]本专利技术涉及互联网路由
，尤其涉及一种域间源地址异常检验方法、装置、存储介质及网络设备。

技术介绍

[0002]全球互联网是由分布在世界各地的自治域(Autonomous System，AS)组成的。随着互联网规模增长，互联网空间内的DDoS(Distributed denial of service attack，分布式拒绝服务攻击)攻击规模也在不断增加。攻击经常会伪造的IP源地址，造成假冒源地址异常攻击流量。如果互联网的自治域AS之间对经过的用户流量进行源地址验证和过滤，可以降低伪造IP源地址的DDoS攻击流量，降低大规模攻击的危害。
[0003]相关的防御假冒源地址攻击的解决方法主要包括两类：(1)在交换机、路由器等中间网络设备建立源地址验证表，过滤假冒源地址数据包；(2)通过数据包标记确定假冒数据包来源。对于第二类方法需要在网络传输过程中改动用户数据包，开销大，难以在互联网大范围部署。第一类方法在特定的路由器接口设立源地址验证(Source Address Validation，SAV)表，验证该接口收到的IP数据包的源地址是否正确(包括是否正当合理，是否应该从该接口通过等)，不正确(例如假冒源地址)的数据包被过滤和报警。该类方案为了提高可部署性，通常要求不改动网络中正在传输的IP数据包，只对数据包的源地址进行验证。
[0004]由于并不是所有的自治域网络内都部署SAV并对发出的数据包进行源地址检验和过滤，因此，针对互联网域间环境，如何在自治域AS间进行源地址验证以降低全球互联网假冒IP源地址的DDoS攻击，提高互联网自治域AS间源地址验证的能力，是本领域亟需解决的问题。

技术实现思路

[0005]为解决上述问题，本专利技术提供一种域间源地址异常检验方法、装置、存储介质及网络设备。
[0006]第一方面，本专利技术实施例提供一种域间源地址异常检验方法，包括：
[0007]根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当前自治域初始的全局域间源地址检验表，所述全局域间源地址检验表中的每条表项至少包含允许通过的源地址前缀和该前缀对应的入接口；
[0008]根据入流量信息计算起源自治域、目的地址前缀与入接口的映射表；
[0009]基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、目的地址前缀与入接口的映射关系，更新全局域间源地址检验表。
[0010]在一些实现方式中，所述全局域间源地址检验表中的每条表项还包括边界路由器ID和可信度，所述根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当前自治域初始的全局域间源地址检验表，包括：
[0011]采集当前自治域内的任一边界路由器学习到的全局BGP路由表信息，获得每个目的地址前缀以及最初宣告该目的地址前缀的起源自治域；
[0012]针对所述任一边界路由器，分别针对面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口，计算相应初始的允许通过的源地址前缀集合；
[0013]将计算的各源地址前缀集合中的源地址前缀与对应的边界路由器ID及入接口信息，以表项形式添加到预先构建的全局域间源地址检验表，并且可信度设置为初始值，形成所述任一边界路由器的初始的全局域间源地址检验表；
[0014]根据当前自治域内所有边界路由器的初始的全局域间源地址检验表，得到当前自治域初始的全局域间源地址检验表。
[0015]在一些实现方式中，所述针对所述任一边界路由器，分别针对面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口，计算相应初始的允许通过的源地址前缀集合，包括：
[0016]分别计算面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口从相应类型自治域学习到的BGP路由的AS
‑
path属性中所包含自治域的集合；
[0017]根据全局BGP路由表中的路由，计算全局BGP路由表中所有起源自治域是该集合中任一自治域的源地址前缀集合，确定为相应初始的允许通过的源地址前缀集合。
[0018]在一些实现方式中，所述根据入流量信息计算起源自治域、目的地址前缀与入接口的映射表，包括：
[0019]获取当前自治域内任一边界路由器采集的周期时间窗口内任一接口的入流量信息；
[0020]根据所述入流量信息和所述全局BGP路由表，统计入流量的源地址所匹配的地址前缀、源地址所属的起源自治域、目的地址所匹配的地址前缀，以及对应入接口的映射信息，得到起源自治域、目的地址前缀与入接口的映射表。
[0021]在一些实现方式中，所述基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、目的地址前缀与入接口的映射关系，更新全局域间源地址检验表，包括：
[0022]生成并发出探测数据包，所述探测数据包的源地址是基于映射表任一表项中的目的地址前缀随机选择的地址，所述探测数据包的目的地址是对应表项中起源自治域基于其宣告的任一地址前缀随机选择的地址；
[0023]若在设定时间周期内通过入接口采集到返回的探测响应数据包，将该探测数据包的源地址对应的自治域所宣告的所有地址前缀、当前探测的边界路由器ID及其入接口的信息以表项形式添加到全局域间源地址检验表中，若添加的表项已存在，则该表项的可信度值增加，若添加的表项不存在，则添加该表项，且可信度设置为初始值；
[0024]若在设定时间周期内通过入接口未采集到返回的探测响应数据包，且全局域间源地址检验表中已存在含该探测数据包的源地址对应的自治域所宣告的所有地址前缀、当前探测的边界路由器ID及其入接口的信息的表项，则将相应的表项可信度值减少。
[0025]第二方面，本专利技术实施例提供一种域间源地址异常检验方法，包括：
[0026]与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述
第一自治域，使所述第一自治域获取流入所述第一自治域各入接口的来自所述第二自治域的流量的源地址前缀；
[0027]所述第一自治域根据获取的信息更新其全局域间源地址检验表；
[0028]其中，所述第一自治域和所述第二自治域均为部署了第一方面所述的域间源地址异常检验方法的自治域。
[0029]在一些实现方式中，所述第一自治域与所述第二自治域直接物理邻接，或者，所述第一自治域与所述第二自治域非直接物理邻接但逻辑邻接。
[0030]在一些实现方式中，在所述第一自治域与所述第二自治域直接物理邻接的情况下，所述与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述第一自治域，使所述第一自治域获取流入所述第一自治域各入接口的来自所述第二自治域的流量的源地址前缀，包括：
[0031]若所述第二自治域基于BGP路由表获取到目的地址前缀的下一跳是所述第一自治域，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域间源地址异常检验方法，其特征在于，包括：根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当前自治域初始的全局域间源地址检验表，所述全局域间源地址检验表中的每条表项至少包含允许通过的源地址前缀和该前缀对应的入接口；根据入流量信息计算起源自治域、目的地址前缀与入接口的映射表；基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、目的地址前缀与入接口的映射关系，更新全局域间源地址检验表。2.根据权利要求1所述的域间源地址异常检验方法，其特征在于，所述全局域间源地址检验表中的每条表项还包括边界路由器ID和可信度，所述根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当前自治域初始的全局域间源地址检验表，包括：采集当前自治域内的任一边界路由器学习到的全局BGP路由表信息，获得每个目的地址前缀以及最初宣告该目的地址前缀的起源自治域；针对所述任一边界路由器，分别针对面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口，计算相应初始的允许通过的源地址前缀集合；将计算的各源地址前缀集合中的源地址前缀与对应的边界路由器ID及入接口信息，以表项形式添加到预先构建的全局域间源地址检验表，并且可信度设置为初始值，形成所述任一边界路由器的初始的全局域间源地址检验表；根据当前自治域内所有边界路由器的初始的全局域间源地址检验表，得到当前自治域初始的全局域间源地址检验表。3.根据权利要求2所述的域间源地址异常检验方法，其特征在于，所述针对所述任一边界路由器，分别针对面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口，计算相应初始的允许通过的源地址前缀集合，包括：分别计算面向用户自治域的入接口、面向对等关系的自治域的入接口和面向提供者自治域的入接口从相应类型自治域学习到的BGP路由的AS
‑
path属性中所包含自治域的集合；根据全局BGP路由表中的路由，计算全局BGP路由表中所有起源自治域是该集合中任一自治域的源地址前缀集合，确定为相应初始的允许通过的源地址前缀集合。4.根据权利要求1所述的域间源地址异常检验方法，其特征在于，所述根据入流量信息计算起源自治域、目的地址前缀与入接口的映射表，包括：获取当前自治域内任一边界路由器采集的周期时间窗口内任一接口的入流量信息；根据所述入流量信息和所述全局BGP路由表，统计入流量的源地址所匹配的地址前缀、源地址所属的起源自治域、目的地址所匹配的地址前缀以及对应入接口的映射信息，得到起源自治域、目的地址前缀与入接口的映射表。5.根据权利要求1所述的域间源地址异常检验方法，其特征在于，所述基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、目的地址前缀与入接口的映射关系，更新全局域间源地址检验表，包括：生成并发出探测数据包，所述探测数据包的源地址是基于映射表任一表项中的目的地址前缀随机选择的地址，所述探测数据包的目的地址是对应表项中起源自治域基于其宣告的任一地址前缀随机选择的地址；
若在设定时间周期内通过入接口采集到返回的探测响应数据包，将该探测数据包的源地址对应的自治域所宣告的所有地址前缀、当前探测的边界路由器ID及其入接口的信息以表项形式添加到全局域间源地址检验表中，若添加的表项已存在，则该表项的可信度值增加，若添加的表项不存在，则添加该表项，且可信度设置为初始值；若在设定时间周期内通过入接口未采集到返回的探测响应数据包，且全局域间源地址检验表中已存在含该探测数据包的源地址对应的自治域所宣告的所有地址前缀、当前探测的边界路由器ID及其入接口的信息的表项，则将相应的表项可信度值减少。6.一种域间源地址异常检验方法，其特征在于，包括：与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述第一自治域，使所述第一自治域获取流入所述第一自治域各入接口的来自所述第二自治域的流量的源地址前缀；所述第一自治域根据获取的信息更新其全局域间源地址检验表；其中，所述第一自治域和所述第二自治域均为部署了权利要求1～6中任一项所述的域间源地址异常检验方法的自治域。7.根据权利要求6所述的域间源地址异常检验方法，其特征在于，所述第一自治域与所述第二自治域直接物理邻接，或者，所述第一自治域与所述第二自治域非直接物理邻接但逻辑邻接。8.根据权利要求7所述的域间源地址异常检验方法，其特征在于，在所述第一自治域与所述第二自治域...

【专利技术属性】
技术研发人员：王旸旸，王瑞浩，陈安东，徐明伟，胡虹雨，
申请(专利权)人：清华大学，
类型：发明
国别省市：